Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

服务器证书的强化准则

贡献者

您应将安装期间创建的默认证书替换为您自己的自定义证书。

对于许多组织来说,用于 StorageGRID Web 访问的自签名数字证书不符合其信息安全策略。在生产系统上,您应安装 CA 签名的数字证书以用于对 StorageGRID 进行身份验证。

具体而言,您应使用自定义服务器证书,而不是这些默认证书:

  • * 管理接口证书 * :用于确保对网格管理器,租户管理器,网格管理 API 和租户管理 API 的访问安全。

  • * S3 和 Swift API 证书 * :用于保护对存储节点和网关节点的访问安全, S3 和 Swift 客户端应用程序使用这些节点上传和下载对象数据。

备注 StorageGRID 单独管理用于负载平衡器端点的证书。要配置负载平衡器证书,请参见管理 StorageGRID 的说明中配置负载平衡器端点的步骤。

使用自定义服务器证书时,请遵循以下准则:

  • 证书应具有与 StorageGRID 的 DNS 条目匹配的 ` subjectAltName` 。有关详细信息,请参见中的第 4.2.1.6 节 " SSubject Alternative Name , " "RFC 5280 : PKIX 证书和 CRL 配置文件"

  • 尽可能避免使用通配符证书。此准则的一个例外是 S3 虚拟托管模式端点的证书,如果事先不知道分段名称,则需要使用通配符。

  • 如果必须在证书中使用通配符,则应执行其他步骤以降低风险。请使用通配符模式,例如 ` * .s3.example.com` ,不要对其他应用程序使用 s3.example.com 后缀。此模式也适用于路径模式 S3 访问,例如 dc1-s1.s3.example.com/mybucket

  • 将证书到期时间设置为较短(例如 2 个月),并使用网格管理 API 自动轮换证书。这对于通配符证书尤其重要。

此外,客户端在与 StorageGRID 通信时应使用严格的主机名检查。